Hơn 80.000 camera Hikvision có thể bị tấn công nếu không cập nhật ngay!

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
85
553 bài viết
Hơn 80.000 camera Hikvision có thể bị tấn công nếu không cập nhật ngay!
WhiteHat Team

Các nhà nghiên cứu đã phát hiện hơn 80.000 thiết bị camera Hikvision bị ảnh hưởng bởi lỗ hổng command injection nghiêm trọng từng gây ra "sóng gió" trước đây.

Không ai khác chính là CVE-2021-36260 (điểm CVSS 9,8), lỗ hổng có thể dễ dàng bị khai thác thông qua các tin nhắn được tạo đặc biệt gửi đến máy chủ web tồn tại lỗ hổng.

Anh-whitehat-vn.png

Lỗi này đã được Hikvision giải quyết thông qua bản cập nhật firmware vào tháng 9 năm 2021. Tuy nhiên, theo báo cáo chính thức do CYFIRMA công bố, hàng chục nghìn hệ thống được sử dụng bởi 2.300 tổ chức trên 100 quốc gia vẫn chưa áp dụng bản cập nhật mới này.

Đã có hai bộ khai thác lỗ hổng CVE-2021-36260 được công khai. Lần đầu tiên vào tháng 10 năm 2021 và lần thứ hai vào tháng 2 năm 2022. Bất cứ kẻ tấn công nào đều có thể tìm kiếm và khai thác các thiết bị camera này.

Tháng 12 năm 2021, một mạng botnet dựa trên Mirai có tên 'Moobot' đã sử dụng bộ khai thác để lây nhiễm và DDoS hệ thống (từ chối dịch vụ phân tán).

Tháng 1 năm 2022, CISA cảnh báo CVE-2021-36260 nằm trong danh sách các lỗi bị khai thác tích cực. Những kẻ tấn công có thể chiếm quyền kiểm soát thiết bị nên hãy vá lỗi ngay lập tức.

Lỗ hổng dễ bị khai thác

CYFIRMA cho biết các diễn đàn hacker nói tiếng Nga thường bán các điểm truy cập mạng dựa vào camera Hikvision tồn tại lỗ hổng để sử dụng cho "botnetting" hoặc xâm nhập vào các máy ngang hàng trong hệ thống.

hik3.jpg

Các điểm truy cập được bán trên các diễn đàn của Nga

Trong một mẫu phân tích gồm 285.000 máy chủ web Hikvision sử dụng Internet, công ty an ninh mạng đã phát hiện khoảng 80.000 thiết bị dễ bị khai thác, hầu hết ở Trung Quốc, Hoa Kỳ, Việt Nam, Anh, Ukraine, Thái Lan, Nam Phi, Pháp, Hà Lan và Romania.

hik5.jpg

Khu vực các camera Hikvision dễ bị tấn công

Mặc dù việc khai thác lỗ hổng CVE-2021-36260 hiện nay không theo một mô hình cụ thể nào, CYFIRMA vẫn dồn nghi vấn cho các nhóm tấn công Trung Quốc APT41 và APT10, cũng như các nhóm tin tặc Nga chuyên về gián điệp mạng.

Mật khẩu yếu cũng là một nguyên nhân

Ngoài lỗ hổng command injection, mật khẩu yếu cũng là một nguyên nhân khiến các thiết bị camera dễ bị tấn công khi người dùng cài đặt “tùy hứng” hoặc để mặc định, quên thay đổi.

hik78.jpg

Thành viên trên diễn đàn chia sẻ các endpoint Hikvision bị bẻ khóa

Nếu đang sử dụng camera Hikvision, người dùng nên ưu tiên cài đặt bản cập nhật mới nhất hiện nay, sử dụng mật khẩu mạnh và cách ly mạng IoT khỏi các chương trình quan trọng bằng cách sử dụng tường lửa hoặc VLAN.

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Đã có PoC của lỗ hổng leo thang đặc quyền CVE-2024-26218 trong Windows Kernel
  • Lỗ hổng 9,9 điểm trong plugin của WordPress gây ra hàng triệu cuộc tấn công SQL injection
  • Cisco cảnh cáo lỗ hổng zero-day có thể bị khai thác để tấn công mạng chính phủ
  • Phát hiện các lỗ hổng trong Windows có thể bị khai thác như rootkit
  • Lỗ hổng nghiêm trọng của plugin Forminator ảnh hưởng hơn 300 nghìn trang web
  • Lỗ hổng nghiêm trọng trong PuTTY làm rò rỉ khóa riêng
    • Thẻ
    cve-2021-36260 hikvision
    Bên trên